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(54) Title: MICROPROCESSOR SYSTEM FOR AUTOMOBILE CONTROL SYSTEMS 
(54) Bezeichnung: MIKROPROZESSORSYSTEM FOR KFZ-REGELUNGSSYSTEME 
(57) Abstract 

The invention relates to a microprocessor system for 
safety-critical control systems, which is provided with three central 
processing units (1. 2, 3) jointly arranged on a chip and which 
process the same program. The system also comprises read-only 
memories (7. 12, 17) and read-write-memories (8, 13. 18), input 
and output units (9, 19) and comparators (15. 22. 23). which check 
the output signals of die central processing units (1, 2, 3) to see 
whether they match. The central processing units (1, 2, 3) are 
interconnected by means of bus systems (4. 5, 6) and bypasses 
(14, 16). which enable the central processing units (1, 2, 3) to read 
and process the existing data and commands according to the same 
program. The storage capacity of the read-only memories and the 
read-write memories is at least double that of a memory required 
for a non-redundant system. Storage space is, for instance, divided 
among the following system in a ratio of 100:50:50. Redundant 
peripheral components (10, 20) provide the central processing 
units (1, 2. 3) with two complete control signal circuits which are 
interconnected so that a defective central processing unit (1, 2. 
3) can be identified in case of failure by a majority decision and 
switching to an emergency operational function can take place. 
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(57) Zusammenfassung 



Ein Mikroprozessorsystem fUr sicherhcitskritische Regelungen ist mit drei, gemeinsam auf einem Chip angeoidneten Zentraleinheiten 
(1, 2, 3) ausgeriistet. die das gleiche Programm abarbeiten. Aufierdem sind Festwertspeicher (7. 12, 17) und Schreib-Lese^peicher (8. 
13, 18), Eingabe- und Ausgabeeinheiten (9, 19) und Vergleicher (15, 22, 23) vorhanden, die die Ausgangssignale der Zentraleinheiten 
(1, 2, 3) auf Ubereinstimmung Qberpriifen. Die Zentraleinheiten (1, 2. 3) sind Uber Bus-Systeme (4, 5, 6) und Uber Bypasse (14, 
16) untereinander verbunden, die den Zentraleinheiten (1, 2, 3) ein gemeinsames Lesen und Abarbeiten der anstehenden Daten und 
Befehle nach dem gleichen Programm ermftglichen. Die Speicherkapazitat der Festwert- und der Schreib-Lese-Speicher betragt insgcsamt 
mindestens 200 % im Vergleich zu dem ftir ein nicht redundantes System benotigten Speicher. Die Speicherplatze sind auf die drei 
Systeme z.B. im Verhaitnis 100:50:50 verteilt. Die Zentraleinheiten (1, 2, 3) sind durch redundante Peripherie-Komponenten (10, 20) zu 
zwei vollstandigen Regelunssignalkreisen erweitert und derart zusammengeschaltet, da6 bei einem Ausfall duich Majoritatsentscheid die 
fehlerhafte Zentraleinheit (1, 2, 3) identifiziert und ein tlbergang zu einer Notlauffunktion erfolgen kann. 
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Mikroprozessorsystem fiir KFZ-Regelungssysteme 

Die Erfindung bezieht sich auf ein Mikroprozessorsystem der 
im Oberbegriff des Hauptanspruchs beschriebenen Art. Es han- 
delt sich also um ein System fur sicherheitskritische Rege- 
lungen, mit redundanter Datenverarbeitung, mit mehreren Zen- 
traleinheiten^ welche uber separate Bus-Systeme mit Fest- 
wertspeichern und Schreib-Lesespeichern, mit Eingabe- und 
Ausgabeeinheiten und mit Vergleichern, die die die Ergebnis- 
se und/oder Zwischenergebnisse der Datenverarbeitung auf 
tibereinstimmung iiberprlifen, zu mehreren Datenverarbeitungs- 
systemen verbunden sind, wobei die Zentraleinheiten liber die 
Bus-Systeme miteinander kommunizieren und das gleiche Pro- 
gramm abarbeiten und wobei die Bus-Systeme untereinander 
durch Bypasse verbunden sind, die den Zentraleinheiten ein 
gemeinsames Lesen und Abarbeiten der anstehenden Daten und 
Bef ehle ermoglichen . 

Zu den sicherheitskritischen Regelungen dieser Art zahlen 
u.a. die in die Bremsenf unktion eines Kraf tf ahrzeugs ein- 
greifenden Regelungssysteme, die in groBer Anzahl und groJJer 
Vielfalt auf dem Markt sind. Beispiele hierfur sind die An- 
tiblockiersysteme (ABS) , Antriebsschlupf regelungssysteme 
(ASR) , Fahrstabilitatsregelungen (FDR, ASMS) , Fahrwerksrege- 
lungssysteme etc. Ein Ausfall eines solchen Regelungssystems 
flihrt 2ur Gefahrdung der Fahrstabilitat des Fahrzeugs. Daher 
wird die Funktionsf ahigkeit der Systeme standig uberwacht, 
um beim Auftreten eines Fehlers die Regelung abschalten oder 
in einen fur die Sicherheit weniger gefahrlichen Zustand um- 
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schalten zu konnen. Noch kritischer sind Bremssysteme bzw. 
Kraf tf ahrzeug-Regelungssysteme, bei denen bei Ausfall der 
Elektronik keine Umschaltung auf ein mechanisches oder hy- 
draulisches System moglich ist* Hierzu zahlen Bremssystem- 
konzepte, wie "Brake-by-wire", die voraussichtlich in der 
Zukunft noch an Bedeutung gewinnen werden; die Bremsenf unk- 
tion ist bei solchen Systemen auf eine intakte Elektronik 
angewiesen. 

Ein Beispiel fur ein Microprozessorsystem zur Steuerung und 
Uberwachung einer blockiergeschutzten Fahrzeugbremsanlage 
ist aus der DE 32 34 637 C2 bekannt. Nach dieser Schrift 
werden die Eingangsdaten zwei identisch prograinmierten Mi- 
crocomputern parallel zugefuhrt und dort synchron verarbei- 
tet. Die Ausgangssignale und Zwischensignale der beiden Mi- 
crocomputern werden auf Ubereinstiiranung gepriift. Wenn die 
Signale voneinander abweichen, wird die Regelung 
abgeschaltet . 

Nach einem anderen bekannten System, nach dem die in der DE 
41 37 124 Al beschriebene Schaltung aufgebaut ist, werden 
die Eingangsdaten ebenfalls zwei Microcomputern parallel 
zugefuhrt, von denen jedoch nur einer die vollstandige , auf- 
wendige Signalverarbeitung ausfuhrt. Der zweite Microcompu- 
ter dient vornehmlich zur Uberwachung, weshalb die Eingangs- 
signale nach Auf bereitung, Bildung von zeitlichen Ableitun- 
gen etc. mit Hilfe vereinf achter Regelalgorithmen und ver- 
einfachter Regelpilosophie weiterverarbeitet werden konnen. 
Die vereinfachte Datenverarbeitung reicht zur Erzeugung von 
Signalen aus, die durch Vergleich mit den in dem aufwendige- 
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ren Microcomputer verarbeiteten Signalen Riackschllisse auf 
den ordnungsgemaBen Betrieb des Systems zulassen, 

Aus der DE 43 41 082 Al ist ein Mikroprozessorsystem 
bekannt, das insbesondere fur das Regelsystem einer 
blockiergeschlitzten Bremsanlage vorgesehen ist. Dieses be- 
kannte System, das auf einem einzigen Chip untergebracht 
werden kann, enthalt zwei Zentraleinheiten, in denen die 
Eingangsdaten parallel verarbeitet werden. Die Festwert- and 
die Schreib-Lese-Speicher , die an die beiden Zentraleinhei- 
ten angeschlossen sind, enthalten zusatzliche Speicherplatze 
fur Prlif informationen und umfassen jeweils einen Generator 
zur Erzeugung von Prlif informationen . Die Ausgangssignale 
eines der beiden Zentraleinheiten werden zur Erzeugung der 
Steuersignale weiterverarbeitet , wahrend die andere als pas- 
sive Zentraleinheit lediglich zur Uberwachung der aktiven 
Zentraleinheit dient. 

Schlie/ilich ist aus der DE 195 29 434 Al bereits ein System 
der eingangs genannten Art bekannt, bei dem zwei synchron 
betriebene Zentraleinheiten auf einem oder auf mehreren 
Chips vorgesehen sind, die die gleichen Eingangsinf ormatio- 
nen erhalten und das gleiche Programm abarbeiten. Die beiden 
Zentraleinheiten sind dabei liber separate Bus-Systeme an die 
Festwert- und an die Schreib-Lese-Speicher sowie an Eingabe- 
und Ausgabeeinheiten angeschlossen. Die Bus-Systeme sind 
untereinander durch Treiberstuf en bzw, Bypasse verbunden 
sind, die den beiden Zentraleinheiten ein gemeinsames Lesen 
und Abarbeiten der zur Verfligung stehenden Daten und Befehle 
ermoglichen. Das System ermoglicht eine Einsparung von Spei- 
cherplatz. Nur eine der beiden Zentraleinheiten ist (direkt) 
mit einem vollwertigen Festwert- und einem Schreib-Lese- 
Speicher verbunden, wahrend die Speicherkapazitat des zwei- 
ten Prozessors auf Speicherplatze fur Prlif daten (Paritats- 
liberwachung) in Verbindung mit einem Prlif datengenerator be 
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schrankt ist. Zugriff zu alien Daten besteht uber die Bypa- 
se. Dadurch sind beide Zentraleinheiten in der Lage, jeweils 
das vollstandige Prograitim abzuarbeiten • 

Alle vorgenannten Systeme beruhen grundsatzlich auf dem Ver- 
gleich redundant verarbeiteter Daten und der Erzeugung eines 
Fehlersignals , wenn Abweichungen auftreten. Beim Auftreten 
eines Fehlers oder Ausfall eines Systems kann dann die Rege- 
lung abgeschaltet werden. In keinem Fall ist eine Notlauf- 
funktion, namlich einer Fortsetzung der Regelung nach dem 
Auftreten des Fehlers, moglich. Eine solche Notlauf f unktion 
ware grundsatzlich nur durch Verdoppelung der Systeme in 
Verbindung mit einem Identif izieren und Abschalten der Feh- 
lerquelle denkbar. 

Der vorliegenden Erfindung liegt nun die Aufgabe zugrunde, 
ein Mikroprozessorsystem der eingangs genannten Art mit 
hochstens geringem Mehraufwand derart auszugestalten , daJ3 
beim Auftreten eines Fehlers eine Notlauf f unktion moglich 
wird. 

Es hat sich herausgestellt , daB diese Aufgabe durch das im 
Anspruch 1 beschriebene Mikroprozessorsystem gelost werden 
kann. Die Besonderheit dieses Systems besteht darin, daJ3 
mindestens drei Zentraleinheiten mit insgesamt mindestens 
doppelter Speicherkapazitat im Vergleich zu der flir ein 
nicht redundantes System benotigten Speicherkapazitat vor- 
handen sind, daB die Zentraleinheiten durch redundante 
Periphere-Einheiten zu mindestens zwei vollstandigen Rege- 
lungssignalkreisen erweitert und derart zusammengeschaltet 
sind, daB bei Ausfall einer Zentraleinheit und/oder zugeho- 
riger Komponenten bzw. beim Auftreten eines Fehlers in einem 
der Datenverarbeitungssysteme durch Ma joritatsentscheidung 
in einer Identif izierungsstufe die f ehlerbehaf tete Zentral- 
einheit identif izierbar ist, ein Ubergang in eine Notlauf- 
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. funktion erfolgt, in der mindestens ein Regelungssignalkreis 
mit voller Speicherkapazitat zur Verfiigung steht lind eine 
Ausgabe von Ausgangssignalen oder Steuersignalen in Abhan- 
gigkeit von der f ehlerbehaf teten Zentraleinheit verhindert 
wird. 

Erf indungsgemaB wird zugunsten eines besonders einfachen 
Regleraufbaus in bestimmten, seltenen Fallen auf eine Redun- 
danz, d.h. auf eine Auf rechterhaltung der redundanten Daten- 
verarbeitung verzichtet, well das Auftreten eines weiteren 
Fehlers wahrend einer kurzen Notlaufphase denkbar unwahr- 
scheinlich ist und weil eine Abschaltung der Regelung nicht 
infrage koimut oder ein hoheres Sicherheitsrisiko zur Folge 
hatte. Statt dessen werden beim Auftreten von Fehlern nach 
dem Identif izieren der Fehlerquelle bzw. der intakten Syste- 
me die Auswirkungen von Fehlern unterbunden und die 
Steuerung und/oder Regelung auf Basis der fehlerfreien Sy- 
steme und Signale fortgesetzt. 

Nach einem vorteilhaf ten Ausf lihrungsbeispiel der Erfindung 
Bind drei Zentraleinheiten mit je einem Bus-System vorgese- 
hen und die Speicherplatze in den drei Zentraleinheiten der- 
art verteilt angeordnet, daB bei Ausf all einer Zentralein- 
heit den beiden iibrigen insgesamt mindestens die voile 
Festwert- und Schreib-Lese-Speicherkapazitat zur verfiigung 
steht, wobei uber die Bypasse alle Zentraleinheiten mit den 
Speicherplatzen in Schreib- und Leserichtung und mit alien 
Eingabe- und Ausgabeeinheiten verbunden sind* 

Als besonders zweckmaJ3ig hat es sich dabei erwiesen, eine 
Zentraleinheit mit der vollen (100%), die beiden anderen mit 
jeweils mindestens 50% der fur ein nicht redundantes System 
benotigten Festwert- und Schreib-Lese-Speicherkapazitat aus- 
zurlisten . 
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Die Erfindung geht gewissermaBen von dem vorgenannten, aus 
der DE 195 29 434 Al bekannten System aus, das im Prinzip 
aus einem vollstandigen und einem unvollstandigen 
Datenverarbeitungssystem besteht, und erweitert dieses Sy- 
stem durch ein zusatzliches , vollstandiges Datenverarbei- 
tungssystem mit den zugehorigen Peripherie-Einheiten . Auf 
diese Weise entstehen zwei vollstandige Regelungssignalkrei- 
se Oder Regelungssignalverarbeitungssysteme , die zu einem 
notlauf f ahigen Gesamtsystem zusammengeschaltet sind, das 
auch bei Ausfall eines Prozessors und Identif izieren der 
Fehlerquelle eine Auf rechterhaltung der Regelung erlaubt. 
Durch die erf indungsgemaJ3e Zusammenschaltung der einzelnen 
Systeme oder Komponenten wird bei Ausfall eines Prozessors 
eine Fortsetzung der Steuerung und Regelung durch Einsatz 
der intakten Kreise moglich. 

Der Gesamtaufwand an Speicherplatzen, der wesentlich den 
Preis des Mikroprozessorsystems bestimmt, wird im Vergleich 
zu einer Verarbeitung in einem nicht redundanten System le- 
diglich verdoppelt, wobei die Aufteilung und Zuordnung der 
Speicherplatze zu den einzelnen Prozessoren in weiten Gren- 
zen variabel ist; es muJ3 sichergestellt sein, dai3 jeder ein- 
zelne Prozessor bzw. jede einzelne Prozessoreinheit das voi- 
le Programm abarbeiten kann. 

Die erf indungsgemaJ3e Ausgestaltung des Mikroprozessorsystems 
ermoglicht die Unterbringung aller oder der wesentlichen 
Komponenten, insbesondere samtlicher Zentraleinheiten, Spei- 
cher, der Vergleicher und der Bypasse sowie ggf. auch der 
Eingabe- und Ausgabeeinheiten, auf einem einzigen Chip. 

Die drei Zentraleinheiten bilden zusammen mit den Speichern, 
mit den Eingabe- und Ausgabeeinheiten und mit den 
Peripherie-Einheiten, einschlieBlich der Spannungsversorgung 
etc., insgesamt zwei vollstandige und ein unvollstandiges 
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Datenverarbeitungssystem; die fur einen vollstandigen Pro- 
grammablauf benotigten Speicherplatze sind auf die Datenver- 
arbeitungssysteme aufgeteilt- Diese Datenverarbeitungss- 
systeme umfassen vorteilhaf terweise jeweils eine Zentral- 
einheit, ein Bus-System sowie Festwert- und Schreib-Lese- 
Speicher, wobei die Speicherplatze derart auf die einzelnen 
Datenverarbeitungssy Sterne verteilt sind, daJ3 beim Auftreten 
eines Fehlers und Ubergang zur Notlauf function die intakten 
Systeme ausreichend Speicherplatze fiir die komplette Daten- 
verarbeitung enthalten und das komplette Programm abarbei- 
ten. 

Ein weiteres Ausf iihrungsbeispiel nach der Erfindung besteht 
darin, daB dieses fiir mehrere oder eine Kombination von 
Kraf tf ahrzeug-Regelungssystemen, wie Brake-by-wire, ABS, 
ASR, ASMS etc., ausgelegt ist, wobei die Notlauf f unktion 
entweder die Auf rechterhaltung des Betriebs aller 
Regelungssysteme erfaBt oder nur auf die Auf rechterhaltung 
ausgewahlter Regelungsf unktionen , zum Beispiel besonders 
sicherheitskritischer Funktionen, beschrankt ist. 

In den Unteransprlichen sind noch weitere vorteilhafte Aus- 
f uhrungsbeispiele beschrieben . 

Aus der beigefligten Abbildung, welche in schematisch verein- 
fachter Darstellung die wesentlichen Komponenten eines Mi- 
kroprozessorsystems nach der Erfindung wiedergibt, und aus 
der nachf olgenden Beschreibung gehen weitere Einzelheiten 
der Erfindung hervor. Diese Abbildung dient zur Erlauterung 
des prinzipiellen Aufbaus und der Wirkungsweise eines 
Ausf uhrungsbeispiels der Erfindung, 

Die Abbildung bezieht sich auf ein Ein-Chip-Mikrocomputer- 
system, das drei synchron betriebene Prozessoren oder Zen- 
traleinheiten 1,2,3, die auch als Rechner- oder, wegen ihrer 
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Funktion^ als Prozessorkerne bezeichnet werden. Jedem Pro- 
zessor ist ein Bus-System 4,5,6 zugeordnet. Die Zentralein- 
heiten 1,2,3 sind an eine synchrone Taktversorgung cl 
(common clock), die redundant ausgelegt ist, angeschlossen. 

Die Zentraleinheit 1 bzw. der Prozessorkern 1 ist durch ei- 
nen Festwertspeicher 7 (ROM 1), durch einen Schreib-Lese- 
Speicher 8 (RAM 1), durch eine Eingabe- und Ausgabeeinheit 9 
zu einem vollstandigen Datenverarbeitungssystem oder Mikro- 
computer MCI erganzt. Die notwendigen Peripheriekomponenten 
(Peripherie 1) sind durch einen externen Block 10 symboli- 
siert. Zu den Peripheriekomponenten zahlen die Spannungs- 
versorgung, die Zuflihrung der Eingangssignale (z,B. der Sen- 
sorsignale bei einem KFZ-Regelungssystem) und die Aktuator- 
oder Ventilansteuerung etc. mit Hilfe der Ausgangsdaten oder 
-signale der Datenverarbeitungssysteme . 

Ein zweites, unvollstandiges Datenverarbeitungssystem oder 
ein Mikrocomputer MC2 , in dem die Zentraleinheit 2 unterge- 
bracht ist, enthalt im wiedergegebenen Ausf lihrungsbeispiel 
lediglich Speicherplatze flir 50% der fur ein nicht redudan- 
tes System benotigten Daten. Symbolisch dargestellt sind im 
Inneren des Mikrocomputers MC2 Festwertspeicherplatze 12 und 
Speicherplatze 13 fur die Daten im Schreib-Lese-Bereich. 

Uber einen Bypass 14 sind BUS 1 (Bus-System 4) und BUS 2 
(Bus-System 5) miteinander verbunden. Der Bypass 14 ermog- 
licht der Zentraleinheit 1 ein Lesen der in den Speicher- 
platzen 12, 13 gespeicherten Daten und gestattet einen Da- 
tenfluB von den Speichern 7,8 und dem Prozessorkern 1 des 
Mikrocomputers MCI zu dem Mikrocomputer MC2, insbesondere zu 
der Zentraleinheit 2. Auf diese Weise ist ein redundantes 
Abarbeiten des vollstandigen Datenverarbeitungs-Programms 
durch beide Zentraleinheiten 1,2 gewahrleistet , Noch weitere 
Einzelheiten zu dem Aufbau und der Funktionsweise solcher 
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Mikroprozessorsysteme sind der vorgenannten DE 195 29 434 Al 
2U entnehmen. 

Die Datenverarbeitungs-Ergebnisse beider Systeme MCI, MC2 
bzw, Prozessoren 1,2 werden, wie ebenfalls in der vorgenann- 
ten Schrift erlautert ist, mit Hilfe eines Vergleichers 15 
auf iibereinstimmung liberwacht; es ist ein uninittelbarer Ver- 
gleich der Ausgangssignale beider Prozessoren mit Hilfe ei- 
nes Hardware-Vergleichers 15 vorgesehen. 

Ein wesentliches Merkmal des Mikroprozessorsystems nach der 
Erfindung und des in der Abbildung dargestellten Ausflihr- 
ungsbeispiels besteht nun darin, daB das eben beschriebene, 
aus der DE 195 2 9 4 34 Al bekannte System durch ein weiteres 
Datenverarbeitungssystem, namlich durch einen Mikrocomputer 
MC3, der ebenfalls mit dem unvollstandigen Mikrocomputer MC2 
und auch mit dem Mikrocomputer MCI zusammenwirkt , erweitert 
ist» Ein Teil der Funktionen dieses zusatzlichen Mikrocompu- 
tersystems (MC3)r namlich das Speichern eines Teils der Da- 
ten, z.B. von 50% der Festwert- und der Schreib-Lese-Daten, 
wird allerdings von dem zweiten Mikrocomputersystem MC2 und 
ggf . auch von dem ersten System MCI wahrgenommen, weil das 
Gesamtsystem fur die Gewahr leistung der Redundanzf unktion 
insgesamt nur die doppelte Speicherkapazitat im Vergleich zu 
einem nicht redundanten, das gleiche Programm abarbeitenden 
System benotigt. Die Speicherkapazitat muB dabei auf die 
drei Datenverarbeitungssysteme MCI, MC2, MC3 derart verteilt 
werden, daJ5 bei Ausfall eines Systems die verbleibenden Sy- 
steme einen ausreichenden Speicherplatz , namlich mindestens 
100%, bieten* In einen bevorzugten Aus'f uhrungsbeispiel sind 
das Mikroprozessorsystem MCI mit 100%, die beiden Mikrocom- 
putersysteme MC2 und MC3 mit jeweils 50% der flir ein nicht 
redundantes System benotigten Speicherplatze ausgeriistet. 
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Das dritte Mikrocomputersystem MC3 ist mit dem (unvollstan- 
digen) Mikrocomputer MC2 ebenfalls durch einen Bypass 16 
verbunden. Dieser Bypass hat die gleiche Punktion wie der 
bereits eingehend beschriebene Bypass 14 iind ermoglicht da- 
her auch den Zentraleinheiten 2 und 3 die redundante Ver- 
arbeitung aller Eingangsdaten* 

Das Mikroprozessorsystem MC3 enthalt einen Festwertspeicher 
17 (ROM 2), einen Schreib-Lese-Speicher 18 (RAM 2), eine 
Eingabe- und Ausgabeeinheit 19 und Periphferie-Komponenten 20 
(Peripherie 2). MC3 ist im dargestellten Ausf lihrungsbeispiel 
ein vollstandige Mikrocomputer, flir den ali^rdings, wie zu- 
vor erlautert, eine reduzierte Speicherkapazitat genugt; die 
Kapazitat der Speicher in MC2 Und MC3 betragt zusammen (min- 
destens) 100%. 

tiber die Bypasse 14,16 ist ein DatenfluJ3 in beiden Richtun- 
gen vom BUS 1 (Bus-System 4) zum BUS 3 (Bus-System 6) gege- 
ben. Zur weiteren Erhohung der Ausf allsicherheit konnte es 
eventuell sinnvoll sein, liber einen zusatzlichen Bypass, der 
nicht dargestellt ist, eine direkte Verbindung zwischen die- 
sen beiden Bus-Systemen 4,6 (BUS 1 und BUS 3) herzustellen. 

Der Mikrocomputer MC3 besitzt hier den gleichen Aufbau und 
die gleichen Komponenten wie der Mikrocomputer MCI. Folglich 
sind bei dem erf indungsgemaBen Mikroprozessorsystem auch die 
Eingabe- und Ausgabeeinheiten 9,19 und die Peripherie-Kompo- 
nenten 10, 20, zu denen die Spannungsversorgung, der Sensor- 
signaleingang und die Aktuatoransteuerung zahlen, zweimal 
vorhanden . 

Die Ausgangssignale oder Datenverarbeitungsergebnisse^^ des 
dritten Mikrocomputers MC3 werden mit Hilfe eines Vergiei- 
chers 22 auf Ubereinstimmung mit den Ergebnissen oder Aus- 
gangssignalen des Mikrocomputers MC2 bzw. der Zentraleinheit 
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2 sowie in gleicher Weise mit Hilfe des Vergleichers 23 auf 
Ubereinstimmung mit den Ergebnissen des MCI bzw. .der Zen- 
traleinheit 1 uberpriift* Dadurch ist nicht nur eine Fehler- 
erkennung, sondern auch eine Identif izierung des Systems, in 
dem der Fehler liegt, moglich. In einer Identif izierungs- 
Stufe 24, die vorzugsweise redundant ausgeflihrt ist und der 
die Ausgangssignale der Vergleicher 15,22,23 zugeleitet wer- 
den, wird durch eine Ma joritatsentscheidung die Fehlerquelle 
erkannt und daraufhin das System auf eine Notlauf f unktion 
umgeschaltet. Dies bedeutet, dafi die Ausgabe von Steuersi- 
gnalen in Abhangigkeit von den fehlerhaften Datenverarbei- 
tungsergebnissen verhindert und statt dessen auf das intakte 
System umgeschaltet wird. 

Das erf indungsgemaBe System laBt sich mit vergleichsweise 
geringem Herstellungsaufwand realisieren. Im Prinzip genligt 
- im Vergleich zu dem bekannten System, das keinen Notlauf 
zulaBt - das Hinzufugen eines Prozessorkerns und die Erho- 
hung der Speicherkapazitat auf das Doppelte. Eine klassische 
Losung mit Notlauf f unktion wlirde mindestens den dreifachen 
Speicheraufwand erfordern. 

Wird die Speicherkapazitat urn einige Speicherplatze im Ver- 
gleich zu dem Minimalwert von 200% erhoht, z.B, um 
Speicherplatze flir je ein Paritatsbit, ist eine Fehlerloka- 
lisierung im Speicherbereich auch liber Hardware-Ma joritats- 
entscheid moglich. Wird die Minimalauslegung der Speicher- 
kapazitat von 200% gewahlt , laJ3t sicht eine Fehlerlokalisie- 
rung z.B. durch Quersummenbildung iiber Speicherblocke oder 
durch andere sof tware-technische MaBnahemen realisieren. 

Die mit Hilfe der erf indungsgemaiien Auslegung erreichte Re- 
duzierung der Speicherkapazitat im Vergleich zu den bekann- 
ten Systemen ist ein entscheidender Vorteil, weil die Kosten 



wo 98/53374 PCT/EP98/01108 



- 12 - 



des Gesamtsystems maJ3geblich von der GroJ3e der Arbeitsspei- 
cher (Festwert- und Schreib-Lese-Speicher ) bestimmt werden. 

Der Aufwand fur die Vergleicher 15, 22, 23, die eine Identi- 
tatsuberwachung durchfuhren, ist minimal. Der Austausch von 
Signalen zwischen den einzelnen Mikrocomputern liber die By- 
passe erfordert keinen nennenswerten Aufwand. Programmtech- 
nisch wird eine Software fur ein scheinbares Einprozessor- 
system realisiert; es werden keine Sof twarestrukturen beno- 
tigt, die einen Austausch von Signalen zwischen den Mikro- 
computern realisieren oder Signale auf Gleichheit oder Ahn- 
lichkeit uberprlifen. 

Grundsatzlich ist es auch moglich, beim Auftreten eines in- 
ternen Rechnerf ehlers die Ubernahme der Eingangsinf ormation 
und der Signalausgabe durch den fehlerfreien Kreis durch- 
zufuhren bzw. dem fehlerfreien Kreis zu libertragen. Dies 
fuhrt zu weiteren Vereinf achungen und Systemf unktionen . 
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Patent anspriiche 

!• Mikroprozessor system fiir KFZ-Regeiungssysteme, inbeson- 
dere fiir sicherheitskritische Regelungen, mit redundan- 
ter Datenverarbeitung , mit mehreren Zentraleinheiten 
(CPU), die liber separate Bus-Systeme mit Festwertspei- 
chern und Schreib-Lesespeichern, mit Eingabe- und Aus- 
gabeeinheiten und mit Vergleichern, die die die Ergeb- 
nisse und/oder Zwischenergebnisse der Datenverarbeitung 
auf Ubereinstimmung liberprlifen, zu mehreren Datenver- 
arbeitungssystemen verbunden sind, wobei die Zentral- 
einheiten liber die Bus-Systeme miteinander kommunizieren 
und das gleiche Programm abarbeiten und wobei die Bus- 
Systeme untereinander durch Bypasse verbunden sind, die 
den Zentraleinheiten ein gemeinsames Lesen und Abarbei- 
ten der anstehenden Daten und Befehle ermoglichen, da- 
durch gekennzeichnet, daJ5 mindestens drei Zentraleinhei- 
ten (1,2,3) mit insgesamt mindestens doppelter Speicher- 
kapazitat im Vergleich zu der fiir ein nicht redundantes 
System benotigten Speicherkapazitat vorhanden sind, daB 
die Zentraleinheiten (1,2,3) durch redundante Periphere- 
Einheiten (10,20) zu mindestens zwei vollstandigen Rege- 
lungssignalkreisen erweitert und derart zusammengeschal- 
tet sind, daJ3 bei Ausfall einer Zentraleinheit (1,2,3) 
und/oder einer zugehorigen Komponente bzw- beim Auftre- 
ten eines Fehlers in einem der Datenverarbeitungssysteme 
durch Ma joritatsentscheidung in einer Identif izierungs- 
stufe (24) die f ehlerbehaf tete Zentraleinheit (1,2,3) 
identif izierbar ist, ein Ubergang in eine Notlauffunk- 
tion erfolgt, in der mindestens ein Regelungssignalkreis 
mit voller Speicherkapazitat zur Verfligung steht und 
eine Ausgabe von Ausgangssignalen oder Steuersignalen in 
Abhangigkeit von der f ehlerbehaf teten Zentraleinheit 
verhindert wird. 
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2. Mikroprozessorsystem nach Anspruch 1 , dadurch gekenn- 
zeichne-t, da5 drei Zentraleinheiten (1,2,3) mit je einem 
Bus-System (4,5,6) vorgesehen sind und daJ3 die Speicher- 
platze in den drei Zentraleinheiten (1,2,3) derart ver- 
teilt angeordnet sind, daJ3 beim Auftreten eines Fehlers 
in einem der Datenverarbeitungssysteme (MCI ,MC2 ,MC3 ) 
Oder bei Ausfall einer Zentraleinheit den beiden ubrigen 
insgesamt mindestens die voile Festwert- und Schreib- 
Lese-Speicherkapazitat (7,12,17; 8,13,18) zur Verfligung 
steht, wobei liber die Bypasse (14,16) alle Zentralein- 
heiten (1,2,3) mit den Speicherplatzen in Schreib- und 
Leserichtung und mit alien Eingabe- und Ausgabeeinheiten 
(9,10) verbunden sind. 

3. Mikroprozessorsystem nach Anspruch 2, dadurch 
gekennzeichnet , daB eine Zentraleinheit (1,2,3) mit der 
vollen, die beiden anderen mit jeweils mindestens 50% 
der flir ein nicht redundantes System benotigten 
Festwert- und Schreib-Lese-Speicherkapazitat ausgerlistet 
sind, 

4* Mikroprozessorsystem nach Anspruch 2 Oder 3, dadurch 
gekennzeichnet, daB die drei Zentraleinheiten (1,2,3) 
zusammen mit den Speichern (7,8,12,13,17,18), mit den 
Eingabe- und Ausgabeeinheiten (9,10) und mit den 
Peripherie-Komponenten (10,20) insgesamt zwei vollstan- 
dige und ein unvollstandiges Datenverarbeitungssystem 
bilden. 

5. Mikroprozessorsystem nach einem oder mehreren der An- 
sprlache 1 bis 4, dadurch gekennzeichnet, da/3 den Ver- 
gleichern (15,22,23) jeweils die Datenverarbeitungser- 
gebnisse bzw, Ausgangssignale von zwei Zentraleinheiten 
(1,2,3) zufiihrbar sind. 
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6. Mikroprozessorsystem nach einem oder mehreren der An- 
sprliche 1 bis 5, dadurch gekennzeichnet , daJ3 zumindest 
die Zentraleinheiten (1,2,3) mit den Bus-Systemen 
(4,5,6), die Speicher (7,8,12,13,17,18), die Bypasse 
(14,16), die Eingabe- und Ausgabeeinheiten (9,19), Ver- 
gleicher (15,22,23) und Identif izierungsstuf en (24) auf 
einem gemeinsamen Chip angeordnet sind. 

7. Mikroprozessorsystem nach einem oder mehreren der An- 
sprliche 1 bis 6, dadurch gekennzeichnet , da5 dieses fur 
mehrere oder eine Kombination von Kraf tf ahrzeug-Rege- 
lungssystemen, wie Brake-by-wire, ABS, ASR, ASMS etc., 
ausgelegt ist und daJ3 die Notlauf f unktion die Aufrecht- 
erhaltung des Betriebs aller Regelungssysteme erfaflt. 

8. Mikroprozessorsystem nach einem oder mehreren der An- 
spruche 1 bis 7, dadurch gekennzeichnet, daB dieses flir 
mehrere oder eine Kombination von Kraf tf ahr zeug-Rege- 
lungssystemen ausgelegt ist und daJ3 die Notlauf f unktion 
auf die Auf rechterhaltung des Betriebs ausgewahlter Re- 
gelungsf unktionen, zum Beispiel besonders sicherheits- 
kritischer Funktionen, beschrankt ist. 
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